概述
单行分隔符模式支持通过配置的分隔符将一条日志分割成多个 key-value 键值,从而实现结构化处理,该模式仅适用于单行日志,每条完整的日志以换行符为结束标识符。
示例
如您需要采集的原始数据为:
- 原始日志:
[Fri Dec 22 15:49:33 CST 2021 +0800] ::: GET /online/sample HTTP/1.1 ::: 127.0.0.1 ::: 200 ::: 647 ::: 35 ::: http://127.0.0.1/ - 若指定的分隔符为":::",则该日志会被分割成7个字段,您可为这7个字段指定对应的key,同时会将原始日志内容存放在
__message__字段中,如下所示:bytes: 35 host: 127.0.0.1 length: 647 referer: http://127.0.0.1/ request: GET /online/sample HTTP/1.1 status: 200 time: [Fri Dec 22 15:49:33 CST 2021 +0800] __message__:[Fri Dec 22 15:49:33 CST 2021 +0800] ::: GET /online/sample HTTP/1.1 ::: 127.0.0.1 ::: 200 ::: 647 ::: 35 ::: http://127.0.0.1/
配置说明
在日志接入流程中-创建采集配置步骤中,按如下参数说明配置切割模式:
| 参数 | 描述 |
|---|---|
| 切割模式 | 针对原始日志执行分词的模式,选择“单行分隔符”。 |
| 日志样例 | 输入您需要采集的日志样例。 |
| 分隔符 | 选择空格、竖线或输入其他自定义符号(数字、英文和中文)。 |
| 日志提取内容 | 选择分隔符后,系统将自动根据分隔符对日志样例进行切割,结果会展示在日志提取内容中,您需要为每个字段定义唯一的 key。 |
